【文章內(nèi)容簡介】 ALL RIGHTS RESERVED. 版權(quán)所有，未經(jīng)書面同意，不得轉(zhuǎn)載。 FOR REFERENCE ONLY. 僅供參考。 北京 派網(wǎng)軟件 有限公司 8 禁止 P2P： 全面禁止 P2P 應(yīng)用將會是擁塞的網(wǎng)絡(luò)恢復(fù)正常狀態(tài)。 優(yōu)點：企業(yè)可以禁止 P2P 的使用，提高員工的工作效率，而以往員工卻花費時間和網(wǎng)絡(luò)帶寬進行娛樂性的網(wǎng)上沖浪。 缺點： ISP 將會失去用戶，因為很多用戶就是為了不受流量限制才租用了運營商的線路。 限制，而不是禁止 P2P： 使用能夠識別第 7 層應(yīng)用的流量管理解決方案，企業(yè)和運營商能夠準(zhǔn)確判別 P2P應(yīng)用并進行限制。 優(yōu)點： 可以通過多種控制策略進行，通過合理調(diào)配帶寬資源，提高網(wǎng)絡(luò)運行效率，如發(fā)生鏈路擁塞的情況下，減少分配給 P2P 應(yīng)用的帶寬或者降低 P2P 應(yīng)用的優(yōu)先級，保證同一服務(wù)級別的用戶使用網(wǎng)絡(luò)的公平性，將會大大改善網(wǎng)絡(luò)響應(yīng)速度質(zhì)量。當(dāng)對P2P 應(yīng)用流量進行限速管理之后，網(wǎng)絡(luò)中的其他應(yīng)用將變得很順暢。 僅對上傳進行約束： 對于 ISP 來說，這種約束能力顯得更為關(guān)鍵，因為對于那些非線路租戶使用其他租戶的線路上傳 (而并不承擔(dān)相關(guān)費用 )的情況尤為關(guān)注。運營商顯然不會考慮這些非線路租戶進行線路的升級，這也就是為什么選擇限制上傳流量的原因。 優(yōu)點：對上傳流量進行限制并不會影響到下載流量。如某運營商對 P2P 應(yīng)用的出向流量進行了限制，而這個方向的流量主要是由非線路租戶產(chǎn)生，由于他們自己的線路租戶的 TCP 確認(rèn)信息并不會受到影響 (盡管它們的方向也是向外發(fā)送 )，就可以繼續(xù)享受無限制的下載服務(wù)。通過這項控制，該運營商用戶的流量消耗得到了顯著減少，成本大幅度下降，又保證了客戶的滿意度。 由于流量管理產(chǎn)品具有足夠的靈活性，可以在不影響下載的前提下限制上傳流量，從而使所有人都能獲益：線路租戶可以根據(jù)自己需要隨意下載，運營商也得益于需要支付給骨干網(wǎng)絡(luò)運營商的成本 的大幅度下降。 缺點：無。 PROPRIETARY amp。 CONFIDENTIAL. 機密及專有。 ALL RIGHTS RESERVED. 版權(quán)所有，未經(jīng)書面同意，不得轉(zhuǎn)載。 FOR REFERENCE ONLY. 僅供參考。 北京 派網(wǎng)軟件 有限公司 9 如何檢測網(wǎng)絡(luò)中的 P2P 流量 為了能 從 應(yīng)用 中把 P2P 應(yīng)用 識別出來，網(wǎng)絡(luò)可視性（ Network Visibility）是至關(guān)重要。這種檢測能力將了解到在當(dāng)前的網(wǎng)絡(luò)中運行著哪些 P2P 應(yīng)用、哪些 P2P 應(yīng)用正在吞噬網(wǎng)絡(luò)中的寶貴資源、哪些用戶占據(jù)了過多的網(wǎng)絡(luò)資源從而造成了網(wǎng)絡(luò)的擁塞。當(dāng)檢測和分離這些流量之后，就可以對 P2P 應(yīng)用進行限制或者阻止、或者為其他的應(yīng)用或用戶分配和保證所需的帶寬，或者把 P2P 應(yīng)用的流量避開峰值時段，合理調(diào)配帶寬使用，從而利用現(xiàn)有的帶寬資源，最大限度地提高帶寬的效率 。 深層數(shù)據(jù)包檢測 (DPI):識別 P2P 應(yīng)用的唯一可靠辦法： 對 P2P 應(yīng)用進行判定，需要借助復(fù)雜的第 7 層識別技術(shù)，使用各種方法來檢測這些難以捉摸的應(yīng)用。由于多數(shù) P2P 應(yīng)用軟件都使用端口跳動技術(shù)或者盜用一些常用服務(wù)的協(xié)議端口進行通信傳輸，所以通過對端口對它們進行識別顯然是遠遠不夠，傳統(tǒng)的流量限速設(shè)備無能為力。因此，所有的數(shù)據(jù)包都必須到應(yīng)用層面（ Application Layer）上進行檢查，即對傳輸協(xié)議如 TCP 協(xié)議的載荷（ Payload）部分進行檢查，以判斷它們是否符合代表某種應(yīng)用代碼的樣本特征，在很多情況 下，對于某一種應(yīng)用的識別需要檢測它是否多個代碼樣本的特征。 基于會話的應(yīng)用分類： 標(biāo)準(zhǔn)的協(xié)議頭部 (Header)字段如 TCP/UDP 的端口號字段在每一個數(shù)據(jù)包中都存在，而第 7 層的協(xié)議代碼樣本通常只能在一次協(xié)議會話的前幾個數(shù)據(jù)包中存在，并進行會話標(biāo)記的請求以標(biāo)識本次會話中所有的數(shù)據(jù)包。當(dāng)網(wǎng)絡(luò)中產(chǎn)生了一個新的會話，如P2P 應(yīng)用會話，那么一個唯一的協(xié)議簽名 (Signature)就必須被找到并能夠與已知的協(xié)議代碼樣本相匹配，如當(dāng)使用第 7 層的分類方法對一個 P2P 應(yīng)用進行了正確的識別，那么該會話中的后續(xù)數(shù)據(jù)包就能夠被正 確的判別為該 P2P 應(yīng)用會話的數(shù)據(jù)流量。 有些情況下，一個 P2P 應(yīng)用使用不止一個會話，這就需要流量管理系統(tǒng)能夠從兩個或多個會話中提取信息并進行關(guān)聯(lián)以找到能夠匹配的代碼樣本。 并非基于端口的分類： P2P 應(yīng)用通常使用隨機的端口號或者借助一些常用的端口號來進行傳輸，因此在進 PROPRIETARY amp。 CONFIDENTIAL. 機密及專有。 ALL RIGHTS RESERVED. 版權(quán)所有，未經(jīng)書面同意，不得轉(zhuǎn)載。 FOR REFERENCE ONLY. 僅供參考。 北京 派網(wǎng)軟件 有限公司 10 行 P2P 應(yīng)用樣本搜尋時，就不能做任何的假設(shè)，需要對網(wǎng)絡(luò)中所有數(shù)據(jù)流進行第 7 層協(xié)議的探測，而不管它們是否使用了某個端口號。 每秒連接數(shù)： 不尋常的連接數(shù)量可能是在暗示著網(wǎng)絡(luò)中 P2P 應(yīng)用的使用，也可暗示著異常流量的存在，如病毒、蠕蟲、有害程序等等。 P2P 是具有侵略性的應(yīng)用，它可以在短時間內(nèi)建立超負(fù)荷的連接，異常的連接數(shù)量在流量管理設(shè)備中可以設(shè)定告警機制，幫助網(wǎng)絡(luò)管理員及時解決問題。 技術(shù)解決方案 針對 P2P 應(yīng)用的流量管理特點，檢測、性能和系統(tǒng)穩(wěn)定性這三個因素是至關(guān)重要。不能正確檢測區(qū)別 P2P 流量，就不能進行管理控制。性能不能滿足要求，沒有足夠的處理能力，造成網(wǎng)絡(luò)延遲的增大，同樣也是無效。 下面簡要介紹一下 Panabit應(yīng)用層流量控制設(shè)備 檢測 與控制 P2P系統(tǒng)所使用的獨特的應(yīng)用層識別技術(shù)，在此之前，我們先介紹一下目前在其它產(chǎn)品中常用的技術(shù)： (1)基于數(shù)據(jù)包的無狀態(tài)識別技術(shù) 。這種技術(shù)一般是采取模式匹配的方式，對每個數(shù)據(jù)包進行模式匹配，并且不考慮數(shù)據(jù)包之間的邏輯關(guān)系，采取這種方式的系統(tǒng)的好處是實現(xiàn)簡單，但是它的缺點也是很明顯的，就是性能低下，易成為網(wǎng)絡(luò)的瓶頸。 (2)基于連接的有狀態(tài)識別技術(shù) 。這種技術(shù)是一般的傳統(tǒng)防火墻所采取的技術(shù)。在防火墻現(xiàn)有的狀態(tài)表的基礎(chǔ)之上，將連接所產(chǎn)生的所有數(shù)據(jù)包看作一個整體，如果其中某個或某些數(shù)據(jù)包符合指定的特征，那么認(rèn)為 這條連接就是符合該特征的連接。所以，如果該特征是 BT 通信，那么這條連接就是兩個 BT 客戶端或一個 BT 客戶端和一個 BT服務(wù)端在通信。 在運營商的網(wǎng)絡(luò)環(huán)境里，由于節(jié)點一般都是網(wǎng)絡(luò)交換節(jié)點，因此許許多多的 P2P節(jié)點的通信都會通過運營商的交換網(wǎng)絡(luò)，這些節(jié)點以十萬，甚至百萬計。如果采取基于連接的有狀態(tài)識別技術(shù)，所能控制的 P2P 通信非常有限，這種技術(shù)只適合于小規(guī)模的網(wǎng)絡(luò)，如中小企業(yè)網(wǎng)絡(luò)。 Panabit 應(yīng)用層流量控制設(shè)備 采用“基于節(jié)點的有狀態(tài)識別技術(shù)”可以避免上述問題。 PROPRIETARY amp。 CONFIDENTIAL. 機密及專有。 ALL RIGHTS RESERVED. 版權(quán)所有，未經(jīng)書面同意，不得轉(zhuǎn)載。 FOR REFERENCE ONLY. 僅供參考。 北京 派網(wǎng)軟件 有限公司 11 一個典型的 P2P 是由許多節(jié)點構(gòu)成的，每個節(jié)點都是一 個服務(wù)器，這個節(jié)點可以同時為其它節(jié)點提供服務(wù)?；诠?jié)點的有狀態(tài)識別技術(shù)的基本思想是從節(jié)點雙方的通信過程中尋找特征數(shù)據(jù)，這些特征數(shù)據(jù)不限于某條特定的連接，如果特征匹配，那么系統(tǒng)將記錄該節(jié)點，而不是某條連接。一旦該接點被識別出來，那么后續(xù)同該節(jié)點通信的數(shù)據(jù)無須重新驗證，因此極大的提高了系統(tǒng)的性能。 P2P 應(yīng)用中， 客戶端既是客戶，又是服務(wù)器，在某端口上監(jiān)聽為其他客戶提供服務(wù) ，根據(jù)這一特性，將 IP＋服務(wù)端口 在內(nèi)存中定義一個 二元組 ，稱之為節(jié)點。 Panabit 應(yīng)用層流量控制設(shè)備 在基于節(jié)點的有狀態(tài)識別技術(shù)的基礎(chǔ)上向智能方 面進一步發(fā)展，該技術(shù)可以從多條連接中自動根據(jù)某種統(tǒng)計規(guī)律來識別某些特征不明顯或者被加密了的通信協(xié)議（如 SkyPe），在保證性能的同時，提高了系統(tǒng)識別的準(zhǔn)確性。這種技術(shù)針對 P2P 應(yīng)用尤其有效。 此外， Panabit 應(yīng)用層流量控制設(shè)備 針對第 4 代 P2P 應(yīng)用軟件的變化，采用獨有主動探測和服務(wù)偽裝技術(shù)保證對 P2P 識別的準(zhǔn)確性。 Panabit 應(yīng)用層流量控制設(shè)備 采用獨有的服務(wù)探測引擎可以識別第四代 P2P 應(yīng)用，如 emule 。服務(wù)偽裝， 對于迅雷這樣綜合了 P2P 和 HTTP,FTP 等傳輸協(xié)議的應(yīng)用， Panabit 應(yīng) 用層流量控制設(shè)備 開發(fā)了獨有的服務(wù)偽裝引擎。 從技術(shù)角度看， P2P 應(yīng)用有如下幾個特點： (1)一個 P2P 節(jié)點（客戶端程序，比如 BitComet）通常與成百上千個客戶端連接，因此節(jié)點之間的連接數(shù)目巨大。假如一個節(jié)點有 200 條連接，那么 10000 個節(jié)點就有可能達到 200 萬條連接，保守估計也會有 100 萬條連接，如此大的連接數(shù)將使設(shè)備不堪負(fù)擔(dān)。 (2)不像 Web 瀏覽這樣的 HTTP 協(xié)議， HTTP 連接一般持續(xù)的時間比較短，而 P2P主要目的是用來共享大的文件，需要傳送大量的數(shù)據(jù)，因此 P2P 客戶端之間的連接一般持續(xù)的時間比較 長，這就意味著系統(tǒng)的資源很長時間不能得到釋放，因此大大增加系統(tǒng)被 DOS(Deny Of Service，拒絕攻擊 )的機會。 針對上述特點， Panabit 應(yīng)用層流量控制設(shè)備 通過學(xué)習(xí)的方式，采用連接識別和節(jié)點識別相結(jié)合的方式，大大減少了連接數(shù)，這樣可以用較少的資源監(jiān)控更大的 P2P 應(yīng)用網(wǎng)絡(luò)，同時提高了系統(tǒng)的效率。 PROPRIETARY amp。 CONFIDENTIAL. 機密及專有。 ALL RIGHTS RESERVED. 版權(quán)所有，未經(jīng)書面同意，不得轉(zhuǎn)載。 FOR REFERENCE ONLY. 僅供參考。 北京 派網(wǎng)軟件 有限公司 12 系統(tǒng)架構(gòu) Panabit 應(yīng)用層流量控制設(shè)備 核心是 專用 OS， 基于 FreeBSD(目前最穩(wěn)定的操作系統(tǒng) )，但是在原有 FreeBSD 基礎(chǔ)上做了如下修改和增強： (1)對網(wǎng)絡(luò)協(xié)議棧作了大量的修改和優(yōu)化，使得 數(shù)據(jù)平面 (Data Plane，見下圖 )能夠以最快速度執(zhí)行。 (2)去掉內(nèi)核部分代碼，使得核心更小。 (3)針對特定的硬件進行優(yōu)化，使得在特定的硬件上更快運行。 (4)修改部分中斷處理函數(shù)和網(wǎng)卡驅(qū)動，使得數(shù)據(jù)平面 (Data Plane)以較高優(yōu)先級運行。 PanaOS 分為數(shù)據(jù)平面（ Data Plane）和控制平面（ Control Plane）兩個部分： (1)數(shù)據(jù)平面 (Data Plane)：負(fù)責(zé)數(shù)據(jù)包處理，同時提供同控制平面的接口。數(shù)據(jù)層面